配置TLS安全策略实现加密通信
对于银行和金融类等需要加密传输的应用,通常会配置HTTPS加密以确保数据的安全传输。弹性负载均衡默认支持部分常用的TLS安全策略来满足您的安全加密需求。
在创建和配置HTTPS监听器时,您可以选择使用合适的默认安全策略,或者创建自定义策略,来提高您的业务安全性。
TLS安全策略包含TLS协议版本和配套的加密算法套件。
默认安全策略
TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
对于高安全性要求的业务,推荐采用高版本的TLS协议版本以强化安全防护;而对于安全性要求较低的业务,则可考虑使用兼容性更广的低版本TLS协议以确保业务的广泛适用。
名称 |
支持的TLS版本类型 |
使用的加密套件列表 |
---|---|---|
TLS-1-0 |
TLS 1.2 TLS 1.1 TLS 1.0 |
|
TLS-1-1 |
TLS 1.2 TLS 1.1 |
|
TLS-1-2 |
TLS 1.2 |
|
tls-1-0-inherit |
TLS 1.2 TLS 1.1 TLS 1.0 |
|
TLS-1-2-Strict |
TLS 1.2 |
|
TLS-1-0-WITH-1-3 |
TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 |
|
TLS-1-2-FS-WITH-1-3 |
TLS 1.3 TLS 1.2 |
|
TLS-1-2-FS |
TLS 1.2 |
|
hybrid-policy-1-0 |
TLS 1.2 TLS 1.1 |
|
tls-1-2-strict-no-cbc |
TLS 1.2 |
|
上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件。在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。
默认安全策略差异对比
下表中,“√”表示支持,“×”表示不支持。
安全策略 |
tls-1-0 |
tls-1-1 |
tls-1-2 |
tls-1-0-inherit |
tls-1-2-strict |
tls-1-0-with-1-3 |
tls-1-2-fs-with-1-3 |
tls-1-2-fs |
hybrid-policy-1-0 |
tls-1-2-strict-no-cbc |
---|---|---|---|---|---|---|---|---|---|---|
TLS 协议 |
||||||||||
Protocol-TLS 1.3 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
Protocol-TLS 1.2 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Protocol-TLS 1.1 |
√ |
√ |
× |
√ |
× |
√ |
× |
× |
√ |
× |
Protocol-TLS 1.0 |
√ |
× |
× |
√ |
× |
√ |
× |
× |
× |
× |
加密套件 |
||||||||||
ECDHE-RSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
× |
√ |
× |
× |
× |
× |
√ |
ECDHE-RSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-RSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
× |
ECDHE-RSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
× |
AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
× |
AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
× |
AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
× |
AES256-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
× |
ECDHE-RSA-AES128-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
ECDHE-RSA-AES256-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
AES128-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
AES256-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
ECDHE-ECDSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
× |
ECDHE-ECDSA-AES128-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
ECDHE-ECDSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
× |
ECDHE-ECDSA-AES256-SHA |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
√ |
× |
ECDHE-RSA-AES128-GCM-SHA256 |
× |
× |
× |
√ |
× |
√ |
√ |
√ |
√ |
× |
TLS_AES_256_GCM_SHA384 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
TLS_CHACHA20_POLY1305_SHA256 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
TLS_AES_128_GCM_SHA256 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
TLS_AES_128_CCM_8_SHA256 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
TLS_AES_128_CCM_SHA256 |
× |
× |
× |
× |
× |
√ |
√ |
√ |
× |
× |
DHE-RSA-AES128-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
DHE-DSS-AES128-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
CAMELLIA128-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
EDH-RSA-DES-CBC3-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
DES-CBC3-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
ECDHE-RSA-RC4-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
RC4-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
DHE-RSA-AES256-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
DHE-DSS-AES256-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
DHE-RSA-CAMELLIA256-SHA |
× |
× |
× |
√ |
× |
× |
× |
× |
× |
× |
ECC-SM4-SM3 |
× |
× |
× |
× |
× |
× |
× |
× |
√ |
× |
ECDHE-SM4-SM3 |
× |
× |
× |
× |
× |
× |
× |
× |
√ |
× |
安全策略 |
tls-1-0 |
tls-1-1 |
tls-1-2 |
tls-1-0-inherit |
tls-1-2-strict |
tls-1-0-with-1-3 |
tls-1-2-fs-with-1-3 |
tls-1-2-fs |
hybrid-policy-1-0 |
tls-1-2-strict-no-cbc |
---|---|---|---|---|---|---|---|---|---|---|
Android 8.0 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Android 9.0 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Chrome 70 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Chrome 80 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Firefox 62 / Win 7 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Firefox 73 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
IE 8 / XP |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
× |
× |
IE 8-10 / Win 7 |
√ |
√ |
√ |
√ |
× |
√ |
× |
× |
× |
× |
IE 11 / Win 7 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
IE 11 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Edge 15 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Edge 16 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Edge 18 / Win 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Java 8u161 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Java 11.0.3 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Java 12.0.1 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
OpenSSL 1.0.2s |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
OpenSSL 1.1.0k |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
OpenSSL 1.1.1c |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Safari 10 / iOS 10 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Safari 10 / OS X 10.12 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Safari 12.1.1 / iOS 12.3.1 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
创建自定义策略
弹性负载均衡默认支持部分常用的TLS安全策略以满足通用需求,但当您有特定的安全需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可以创建自定义TLS安全策略并配置到监听器中,从而进一步提升业务的安全性。
- 进入弹性负载均衡列表页面。
- 单击页面左边的“TLS安全策略”。
- 在TLS安全策略页面,单击页面右上角的“创建自定义策略”。
- 配置自定义策略参数,参数说明参见表4。
- 确认参数配置,单击“确定”。
管理自定义安全策略
自定义安全策略创建完成后,支持您对其进行修改和删除操作。
您可以根据使用需求对创建完成的自定义安全策略进行修改,支持修改名称、协议版本、加密算法套件和描述。
- 进入弹性负载均衡列表页面。
- 单击页面左边的“TLS安全策略”。
- 在TLS安全策略页面,待修改的自定义安全策略所在行的操作列,单击“修改“。
- 在“修改自定义安全策略“弹窗,修改自定义安全策略,参数说明参见表4。
- 确认参数配置,单击“确定”。
您可对创建完成的自定义安全策略进行删除。
如果自定义安全策略已被关联监听器使用,则无法执行删除,请先修改关联监听器的安全策略。
- 进入弹性负载均衡列表页面。
- 单击左侧导航栏的“TLS安全策略”。
- 在TLS安全策略页面,待删除的自定义安全策略所在行的操作列,单击“删除“。
- 在确认删除弹窗,单击“确定“。
为HTTPS监听器添加安全策略
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要创建安全策略的监听器的负载均衡器名称。
- 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
- 在“添加监听器”界面,前端协议选择“HTTPS”。
- 在“添加监听器”界面,选择“高级配置 > 安全策略”。
支持选择默认安全策略或自定义策略。
如果列表中无自定义策略,您可以选择创建自定义策略。
- 配置完成,单击“确定”。
为HTTPS监听器修改安全策略
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要修改安全策略的监听器的负载均衡器名称。
- 切换至“监听器”页签,单击需要修改安全策略的监听器名称。
- 在监听器的基本信息页面,单击“编辑监听器”。
- 在“编辑监听器”界面,展开高级配置,选择安全策略参数。
- 单击“确定”。